Различия

Показаны различия между двумя версиями страницы.

--- freebsd:network:strongswan [2020/06/14 15:13] – [SSL] andrei
+++ freebsd:network:strongswan [2020/07/15 16:43] (текущий) – [Настройка пользователей] andrei
@@ Строка 5: / Строка 5: @@
 ===== Задача =====
-Есть сервер с FreeBSD 12.1. За ним находится приватная сеть. Необходимо предоставить клиентам из интернета доступ к ресурсам, которые находятся внутри это сети. Поскольку устанавливать никакого дополнительно программного обеспечения на устройства клиентов не хочется, то выбор пал на нативный ipsec IKEv2. Реализовывать это будем при помощи **Strongswan**. Для шифрования трафика возмем сертификаты от **letsencrypt**.
+Есть сервер с FreeBSD 12.1. За ним находится приватная сеть. Необходимо предоставить клиентам из интернета доступ к ресурсам, которые находятся внутри этой сети. Поскольку устанавливать никакого дополнительно программного обеспечения на устройства клиентов не хочется, то выбор пал на нативный ipsec IKEv2. Реализовывать это будем при помощи **Strongswan**. Для шифрования трафика возмем сертификаты от [[freebsd:network:letsencrypt|Let's Encrypt]].
 ===== Настройка =====
@@ Строка 13: / Строка 13: @@
 ==== Установка ====
-Устанавливаем security/strongswan, и включаем его в /etc/rc.cong:
+Устанавливаем security/strongswan, и включаем его в /etc/rc.conf:
 <code>
 # pkg install strongswan
@@ Строка 29: / Строка 29: @@
 </code>
 <note important>
-Если Вы так же используете сертификаты от letsencrypt, то у windows клиентов могут возникнуть проблемы с проверкой сертификата. Для того, чтоб это исправить надо скачать еще один сертификат и положить его в /usr/local/etc/ipsec.d/cacerts. Клиенты с macOS и iOS будут подключатся и без этого.
+Если Вы так же используете сертификаты от letsencrypt, то у windows клиентов могут возникнуть проблемы с проверкой сертификата. Для того, чтобы это исправить надо скачать еще один сертификат и положить его в /usr/local/etc/ipsec.d/cacerts. Клиенты с macOS и iOS будут подключатся и без этого.
  </note>
 <code>
-wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem -O /usr/local/etc/ipsec.d/cacerts/lets-encrypt-x3-cross-signed.pem
+# wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem -O /usr/local/etc/ipsec.d/cacerts/lets-encrypt-x3-cross-signed.pem
 </code>
-==== strongswan.conf ====
+==== ipsec.conf ====
+Создаем файл /usr/local/etc/ipsec.conf со следующим содержимым:
 <code>
@@ Строка 101: / Строка 103: @@
   * **rightsourceip** здесь прописываем какие адреса будут выдаваться клиентам: 10.0.2.0/24
   * **rightdns** список DNS серверов, которые необходимо добавить клиенту.
-  * Для клиентов с macOS и iOS надо еще прописать **leftid**=gw2.nzgw.ru
+  * Для клиентов с macOS и iOS надо еще прописать **leftid**
 ==== Настройка пользователей ====
-Осталось прописать пользователей и их пароли. Делается это в файле /usr/local/etc/ipsec.conf:
+Осталось прописать пользователей и их пароли. Делается это в файле /usr/local/etc/ipsec.secrets:
 <code>
@@ Строка 120: / Строка 122: @@
 ==== Firewall ====
-Последний штрих: небходимо открыть на вход UDP порты 500 и 4500. А также регламентировать действия клиентов vpn. На примере pf это делается следующим образом:
+Последний штрих - необходимо открыть на вход UDP порты 500 и 4500. А также регламентировать действия клиентов vpn. На примере pf это делается следующим образом:
 <code>
@@ Строка 130: / Строка 132: @@
 ===== Запуск =====
-Теперь все готов к запуску:
+Теперь все готово к запуску:
 <code>
-service strongswan start
+# service strongswan start
 </code>
-Если нет ошибок, то идем настраивать клиента и пробудем подключится.
+Если нет ошибок, то идем настраивать клиента и пробуем подключится.